Polskie Forum Użytkowników Debiana

Witam.
Ostatnimi czasy zainteresowała mnie konfiguracja iptables. Chciałbym się dowiedzieć jak wygląda sprawa w zablokowaniu numeru ip.
Dajmy na to taki przykład, wysyłam wielokrotne te same wiadomości w bardzo krótkich odstępach czasu (ang. flood) na port 80 pod widać połączenia, poprzez polecenia:
blokuję swoje ip lecz nadal mogę wysłać wspomniane wcześniej wiadomości do hosta, nadal jest to widoczne przez tcpdump - i właśnie tego nie rozumiem.

Jeżeli dobrze rozumiem, to wysyłasz pakiety SYN z systemu, na którym próbujesz je blokować poprzez iptables? Jeżeli tak, to do łańcucha OUTPUT powinieneś zastosować selektor przeznaczenia a nie źródła, czyli powinno być: Jeżeli wydasz tą komendę po rozpoczęciu powodzi pakietów i nie przerwie ona jej, to znaczy, że przed dodaną regułą istnieje inna, która pozwala na takie połączenia. Taką regułą może być reguła przepuszczająca połączenia już nawiązane.

Polecam Ci lekturę podstaw iptables, to część 1 z 4: http://debian.linux.pl/content/402-Ipta ... cych-cz.-1
Tu masz artykuł o połączeniach nawiązanych: http://debian.linux.pl/content/304-Ipta ... ecia-stanu

Dokładnie to pakiety wysyłam z komputera stacjonarnego na mój host, który jest gdzieś tam w sieci (specjalnie pod zabawę z iptables sobie załatwiłem).

Aktualnie iptables jest czyste ale poradniki, które mi przesłałeś z pewnością bardzo mi pomogą.
Czyli do przerwania wysyłania pakietów oprócz mojego polecenia: muszę zastosować podane przez ciebie, tak?

A jeszcze, czy może jest w sieci jakiś prosty schemat lub skrypt na zabezpieczenie się przed dosem? Nie ukrywam, że właśnie takiego zabezpieczenia potrzebuję.

Znalazłem, oczywiście sam, parę takich skryptów lecz z niewiadomych mi przyczyn blokowały one dostęp ssh po jakimś czasie (oczywiście port ssh był dodany do reguły).

Do zabezpieczenia przed ddosem wykorzystasz własnie iptables. W artykule grzeska znajdziesz wszystkie potrzebne informacje.

Moduł recent jak dobrze pamiętam, a pamięć mam już słabą